개인정보보호위원회가 인공지능(AI) 기술로 자동화된 결정으로 정보주체가 권리를 행사하면 개인정보처리자가 조치할 기준을 발표했다.
개보위는 '자동화된 결정에 대한 개인정보처리자의 조치 기준' 고시 제정안을 17일부터 오는 7일까지 행정 예고했다.
이번 고시 제정안은 올해 1월 개인정보 보호법 시행령 심사 과정에서 기업·기관 등 개인정보처리자가 조치해야 할 세부사항을 고시 제정으로 구체화할 필요가 있다는 규제개혁위원회 의견을 반영한 것이다.
고시 제정안에는 자동화된 결정에 대해 정보주체가 거부하거나 설명·검토를 요구한 경우에 기업·기관 등 개인정보처리자가 조치하는 과정에서 고려해야 할 세부사항을 유형별로 구체화했다.
정보주체가 자신의 권리나 의무에 중대한 영향을 미치는 자동화된 결정에서는 설명을 요구하면 정보주체에게 의미있는 정보를 선별해 이해하기 쉬운 방식으로 제공해야 한다.
중대한 영향을 미치지 않는 자동화된 결정은 미리 공개한 주요 개인정보 유형과 자동화된 결정의 관계 등을 전한다.
'정당한 권한을 가진 사람의 실질적이고 의미 있는 개입'이 있는지 아니면 정보주체의 개인정보를 개별적인 처리 과정을 거쳐 의미 있는 정보로 추출 여부 등을 종합적으로 고려한다.
정보주체 권리나 의무에 중대한 영향을 미치는 자동화된 결정에 대해 정보 주체가 거부한 경우에는, 해당 결정의 적용을 정지해 정보주체에게 영향이 미치지 않도록 조치해야 한다. 결과도 알리도록 했다.
다만, 사람의 개입을 통해 재처리하고 결과를 알리면 해당 결정의 적용을 정지하는 조치를 하지 않을 수 있다.
'중대한 영향을 미치는 경우'에 해당하는지 판단할 때는 사람의 생명, 신체의 안전과 관련된 정보주체의 권리나 의무 여부, 지속적인 제한 발생 여부, 회복 가능성 등을 고려한다.
개인정보처리자가 정보주체의 요구를 거절할 수 있는 '정당한 사유'를 판단할 때는 정보주체의 거부나 설명·검토 요구를 제한해 정보주체가 입게 될 불이익과 개인정보처리자 또는 제3자의 이익을 비교해 개별적으로 판단하도록 했다.
또한, '정당한 사유'를 판단할 때 고려해야 하는 사항은 거부권, 설명요구권, 검토요구권의 특성에 맞게 각각 구체화했다.
정보주체 요구를 거절하면 열람 요구에 대한 거절 조치기간(10일)과 동일하게 요구를 받은 날부터 10일 이내에 알리도록 했다.
개인정보위는 이번 고시 제정과 병행해, '자동화된 결정에 대한 정보주체의 권리 안내서' 초안을 오는 24일에 공개한다.
기업·기관 등을 중심으로 현장 간담회를 실시해 현장 의견을 반영해 나갈 계획이다.
양청삼 개인정보정책국장은 “다가오는 AI 시대에 새롭게 도입된 자동화된 결정에 대한 정보주체의 권리에 대한 각 계의 다양한 의견을 반영해 이번 고시 제정안을 마련했다”며 “자동화된 결정이 현장에서 안정적으로 자리잡을 수 있도록 고시 제정안에 대한 행정예고 과정에서 현장 간담회 등으로 의견을 충실히 반영해 나갈 것”이라고 말했다.
박두호 기자 walnut_park@etnews.com